Depuis trois semaines, un forum de fuite de données très populaire s'agitait avec la vente puis la publication (presque gratuite) d'une base de données de plus de 200 millions d'utilisateurs de Twitter. Pour chacune des entrées du fichier se trouve le nom, le nom d'utilisateur ou encore l'adresse email liée à un compte, en plus d'autres informations publiques. Si cette base reste composée de données à relativement faible valeur, elle n'en reste pas moins intéressante par son gigantesque volume.
Le réseau social et son dirigeant Elon Musk -habituellement très bavard- se sont abstenus de commenter ces événements... jusqu'à hier. L'équipe chargée de la protection de la vie privée des utilisateurs a déclaré dans un communiqué qu'après analyse de la base de données publiée, elle n'avait trouvé « aucune preuve que les données vendues en ligne auraient été obtenues grâce à une faille des systèmes de Twitter. »
Une hypothèse douteuse pour éviter les amendes
Twitter suggère que les individus derrière la publication du fichier n'auraient fait que de l'enrichissement de données, une pratique qui consiste à croiser différentes bases de données. Concrètement, ils auraient bien collecté des données publiques de Twitter comme les noms d'utilisateur, les noms d'affichage ou les dates de création des comptes, mais ils les auraient ensuite simplement recoupées avec d'autres jeux de données pour y associer des adresses email. Avec cette hypothèse, le réseau social rejette toute responsabilité quant à la fuite de données personnelles, qui l'exposerait à des amendes dans plusieurs législations, et notamment en Europe avec le RGPD.
Cependant, Alon Gal, analyste de fuite de données réputé de l'entreprise Hudson Rock, met en doute la théorie de Twitter sur son compte LinkedIn. Pour lui, l'authenticité de la fuite est évidente par l'absence de faux positifs dans les associations compte/email du fichier, qui sont courants en cas de simple enrichissement. D'autres analystes corroborent ces propos, mais il reste difficile d'identifier avec certitude l'origine des données.
Le réseau social rappelle également à juste titre que la base de données ne contient aucun mot de passe ou autre donnée qui permettrait de le devenir, ce qui réduit drastiquement sa dangerosité pour l'intégrité des comptes Twitter.
L'hypothèse de l'utilisation d'une faille n'est pas écartée
Les individus à l'origine de la publication du fichier ont affirmé qu'il avait profité d'une vulnérabilité dans le fonctionnement de l'API [l'interface de connexion avec d'autres sites, ndlr] de Twitter, à la fin de l'année 2021. En août 2022, le réseau social -qui n'était pas encore sous le contrôle d'Elon Musk- avait reconnu l'existence de ce bug, remonté par un hacker éthique en janvier et corrigé dans la foulée.
Lorsqu'un utilisateur de l'API envoyait une adresse email, l'API lui renvoyait le compte associé -ce qu'elle n'aurait pas dû faire. Il n'y avait plus qu'à répéter l'opération à partir de listes d'emails comme il en circule des centaines sur les forums peu scrupuleux pour constituer une base de données. Autrement dit, Twitter ne fuitait pas la donnée personnelle (l'adresse email) mais permettait de l'associer avec un compte. Heureusement, cette association ne suffit pas à se connecter aux comptes, puisqu'il faut le mot de passe ainsi que le code de la double authentification si elle est activée. En revanche, elle permet à des individus malveillants de cibler les comptes d'intérêt (personnalités, entreprises...) avec des phishings [messages piégeux, ndlr] personnalisés, dans l'espoir de leur subtiliser ces informations.
Cet été, Twitter avait confirmé le lien entre ce bug et la publication d'une base de données de 5,4 millions d'utilisateurs pendant l'été. Mais la nouvelle administration affirme que la base de 200 millions d'utilisateurs n'y serait quant à elle pas liée. « Nous n'avons pas pu corréler les nouvelles données avec celles du précédent incident », indique le réseau social dans son communiqué.
Twitter dans le viseur des régulateurs
Quoiqu'il en soit, Twitter n'a pas communiqué directement auprès des utilisateurs concernés par la fuite de cet été, et ne compte pas non plus avertir ceux concernés par la fuite récente. Le régulateur américain -la Federal Trade Commission- et l'autorité des données irlandaise -où se trouve le siège social européen de Twitter- ont tous deux ouvert des enquêtes sur les incidents, et plus généralement sur la sécurité du réseau social. Suite à la prise de pouvoir d'Elon Musk fin octobre, pas moins de trois dirigeants en charge de la sécurité et de l'intégrité des données de Twitter ont posé leur démission, sans être remplacés.
Pour rappel, Meta, la maison-mère de Facebook, a reçu une amende de 275 millions d'euros en Europe pour violation du RGPD, suite à la publication d'une base de données similaire (avec des numéros de téléphone au lieu d'adresses email) en 2021.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés